新的api在即将到来的HTML5使Web应用程序更容易访问软件和硬件,特别是在移动设备上。W3C是认真对待隐私将HTML5的收尾工作,但仍有一些重要的事情要考虑。
HTML5,最新版本的Web的语言,是记住Web应用程序设计的。它包含一系列新的应用程序编程接口(api)旨在让Web开发人员使用JavaScript访问设备的硬件和软件。
一些更令人兴奋的HTML5规范包括以下几点:
- 地理定位API让浏览器知道你在哪里
- 媒体捕捉API允许浏览器访问你的摄像头和麦克风
- 文件API让浏览器访问您的文件系统
- 网络存储API让Web应用程序在您的计算机上存储大量的数据
- DeviceOrientation事件规范让Web应用程序知道当你的设备从肖像景观变化
- 消息传递API给移动设备浏览器访问的消息传递系统
- 联系人管理器API允许访问联系人存储在数据库用户的联系人
读这个列表,你可以得出这样的结论:HTML5是专门为黑客和身份小偷。然而,现实是HTML5的作者非常重视隐私。
HTML5的担忧削弱隐私保护是最著名和明显表达了头版纽约时报10月10日,2010年的文章。新的Web代码绘制担忧隐私风险谈判主要是额外的跟踪能力通过新的HTML5浏览器存储功能。特别是,Samy KamkarEvercookie指出应用程序作为一个特别的例子。Evercookie是一个JavaScript应用程序,将跟踪数据写入许多地方在用户的浏览器中,使得数据难以通过正常手段删除。更糟糕的是,Evercookie将重现所有cookie,如果发现他们已经被移除。
Kamkar Evercookie演示创建的新的存储机制可以利用营销人员来跟踪用户。营销人员注意,并迅速采取了Evercookie跟踪用户。
害怕了吗?你应该。
但HTML5并不是问题。事实上,HTML5是解决方案的一部分。
HTML5能提高网络安全,消除了需要插件
的当前状态Web-even离开HTML5完全包括跟踪cookie, Flash cookie和黑客攻击网站分发恶意软件。此外,全球网民的6.3%(其中很多是在中国)仍然使用明显不安全微软Internet Explorer 6。
HTML5旨在使网络更加安全,在某种程度上,通过消除需要浏览器插件。这是一个很好的开始。最常见的两个安装浏览器插件,Java和闪光也在任何Web浏览器最大的两个安全漏洞。
只需安装,插件使浏览器更不安全。不仅如此,插件通常为多个操作系统编写;漏洞插件如Java或Flash是一个弱点在Windows中,MacOS和Linux。另一个问题是,大部分的插件没有安装最新的安全补丁。总的来说,插件是一个大问题。
新闻:Oracle版本Java EE 7与关注HTML5开发更多:HTML5 Web存储漏洞可以被滥用来填补与垃圾数据硬盘
HTML5的许多新的内置视频和音频播放,矢量和位图动画,设备访问和网络存储,例如旨在消除需要插件。通过把曾经认为是“额外”功能的屋顶下浏览器和,更重要的是,在批准的屋顶standards-security和隐私可以集成在一个更加连贯,小心。
HTML5设备访问api和隐私偏好
设备访问api的主要类别存在另一个潜在的HTML5隐私问题。只有自然的许多人看来,网络的持续扩张和webification各种计算设备将产生很多创新的产品和服务。就像桌面Web应用程序正在接管许多任务,使用包装的唯一领域软件,移动计算也越来越转向网络。
今天的移动Web应用程序最大的一块拼图是有限的设备访问移动浏览器的功能相比,本机移动应用程序的功能。例如,移动Web应用程序不能引起你的手机震动,看电池的当前状态或测量环境光。然而,大多数新移动Web浏览器可以访问你的当前位置和相机。随着这些新功能被烤成浏览器,隐私是一个大问题。
在本地应用,设备访问隐私偏好通常通过安装过程管理。当你安装一个Android应用程序,例如,你收到通知的类型的访问应用程序请求。在这一点上,你可以选择允许或不允许请求的访问。你安装应用程序后,权限设置,应用程序可以访问你的相机,联系人或无论你批准。
移动Web应用隐私和安全是很棘手的,因为一个Web应用程序可能会改变在任何时间和升级不需要你的积极参与。大多数时候,这是Web应用程序的一个最大好处;你得到不断升级没有恼人的升级过程,本地应用需要。不利的一面是,任何变化可能导致之前安全、值得信赖的应用变得更加如此,甚至是有害的。
了解浏览器处理这个潜在的问题,我们需要首先定义一些术语:
请注意是一个API的要求通知用户数据被收集。目前,浏览器有稍微不同的机制给通知,但是通知栏顶部的浏览器窗口正在成为最常见的方法。你可以看到一个API的一个例子引发注意通过访问一个网站,使用HTML5的地理位置的浏览器支持地理定位;所有主流浏览器的最新版本。
同意是一个过程,获取用户权限的API来访问设备。同意可以隐式或显式。举个例子,如果你按“拍照”按钮,你暗中给予许可的应用使用相机。另一方面,如果你点击一个“电子邮件朋友”按钮,你不是暗中给联系人API允许垃圾邮件联系人数据库中每个人。每个HTML5 API假定默认需要显式权限但定义情况下,隐式权限是可以接受的。
最小化是要求api很容易收集尽可能少的信息需要手头的任务。
控制的功能是用户管理权限的选择。用户必须能够撤销浏览器的访问他们授予后的设备。可选地,他们应该被允许白名单和黑名单的应用程序。
最后,访问是用户查看和删除他的能力与应用程序共享设备访问的历史。
地理位置也许是最可能的一种HTML5 api。有趣的是,它也是一个最广泛的api实现的。了解个人隐私的措施设备api,它有助于看地理位置是如何做到的。
第四节提出了地理定位API规范的致力于隐私。隐私问题分为两个领域的焦点:考虑地理定位API的实现者(浏览器创造者)和接受者的位置信息(软件开发)。
设计实际的工作机制和用户界面请求,获取和管理权限是由实际的浏览器。规范简单地说,为了符合规范,位置信息未经许可不能获得一个用户代理(Web浏览器)。
规范地方额外的位置数据,要求收件人。他们必须公开,他们正在收集数据,保护数据免受未经授权的访问,允许用户更新和删除任何数据存储,告诉用户数据将存储多长时间,告诉用户数据将被重新传输和披露如何获得数据。
相关:Facebook官方:HTML5的支持者需要加大移动努力
浏览器的一部分方程并不令人担忧。浏览器制造商非常重视他们的责任提供一个安全的环境。收件人(Web应用程序开发人员)的一部分照片应该担心,。位置数据或数据的接收方的过程从任何设备,对物质和规范的需求目前个别开发人员。一些开发人员甚至没有意识到的需求,没有执行机制。
尽管浏览器特别问数据可以获得你的位置,你可能会很少,如果有的话,知识或保证数据不会存储或用于其他比你批准。这是下一个在前面争夺网络隐私。
保护隐私的解决方案少之又少
万维网联盟平台的隐私偏好项目(P3P)几年前被设计来解决这类问题通过创建一个标准语言沟通网站可以使用他们的隐私政策。P3P,浏览器可以通知用户的网站访问网站的政策,甚至让他们退出的政策他们不舒服。P3P从未浏览器制造商,然而,其工作已经暂停。
如今,W3C的隐私利益集团和跟踪保护工作小组代表两个正在进行的努力提高和规范放在安全和隐私,事实上在HTML5。
也许最引人注目的进步在浏览器隐私最近几个月不跟踪的实现(DNT)规范了所有主要的浏览器制造商。一些浏览器,包括ie 10,已经默认启用二硝基酚。
报告:Mozilla cfpb与广告组/请勿追踪相关:加州首席检察官要求应用程序开发者尊重用户的隐私
二硝基酚是一个浏览器偏好通过网站的HTTP头。作为保护,它实际上是相当薄弱,目前网站必须自愿遵守用户的偏好不被跟踪。
尽管广告业通常表示将尊重DNT偏好,没有做什么。拟议中的2013年加州知情权法案,例如,将允许人们要求企业报告的业务知道他们。后互联网行业游说团体反对,知情权法案已经退出考虑至少2013。
没有一个可行的自愿网站披露他们的政策机制,立法的样子只有良好的解决问题的恶化对用户营销人员收集更多的数据。美国联邦贸易委员会(Federal Trade Commission)的头,伊迪丝·拉米雷斯,最近敦促广告行业DNT兑现它的承诺。与此同时,不跟踪立法已经在国会提出,问题收到更多的关注作为标准仍然是散列出来。
克里斯的明运行一个Web设计和开发公司,经常教HTML5类Ed2Go。Ed Tittel是一名全职自由作家和顾问专门从事网络标记语言,信息安全和Windows操作系统。在一起,明尼克和Tittel即将出版的书的作者开始编程与HTML5和CSS3假人以及许多其他的书。
在推特上跟随从CIO.com@CIOonline,脸谱网,Google +和LinkedIn。
阅读更多关于web服务钻取CIO的Web服务。
这个故事,“如何确保隐私在HTML5的时代”最初发表的首席信息官 。